Krisberedskap i betalningssystemet

RiR 2007:28 Krisberedskap i betalningssystemet Tekniska hot och risker

ISBN 978 91 7086 130 7 RiR 2007:28 Tryck: Riksdagstryckeriet, Stockholm 2007

Till regeringen Finansdepartementet Försvarsdepartementet Justitiedepartementet Näringsdepartementet Socialdepartementet Datum: 2007-12-10 Dnr: 38-2007-1487 tekniska hot och risker Riksrevisionen har granskat regeringens och ansvariga myndigheters insatser för att förebygga och hantera tekniska hot och risker i det centrala betalningssystemet. Resultatet av granskningen redovisas i denna granskningsrapport. Företrädare för Finansdepartementet och de granskade myndigheterna har fått tillfälle att faktagranska och i övrigt lämna synpunkter på underlag och utkast till slutrapport. Rapporten överlämnas till regeringen i enlighet med 9 lagen (2002:1022) om revision av statlig verksamhet m.m. Rapporten överlämnas samtidigt till Riksrevisionens styrelse. Rapporten överlämnas också för kännedom till berörda myndigheter. Riksrevisor Eva Lindström har beslutat i detta ärende. Revisionsdirektör Eero Marttinen har varit föredragande. Revisionsdirektör Claes Isander, revisionsdirektör Pierre Gunnarsson och revisor Kim Lundmark har medverkat vid den slutliga handläggningen. Eva Lindström Eero Marttinen För kännedom: Riksbanken Finansinspektionen Riksgälden Försäkringskassan Post- och telestyrelsen Försvarets radioanstalt Krisberedskapsmyndigheten

Innehåll Sammanfattning 7 1 Inledning 13 1.1 Motiv för granskningen 13 1.2 Frågeställningar 14 1.3 Avgränsningar 14 1.4 Bedömningsgrunder 14 1.5 Metod och genomförande 16 1.6 Vad kan allvarligt störa betalningssystemet och få stora skadeverkningar? ett exempel 17 1.7 Några centrala begrepp i rapporten 18 2 Det centrala betalningssystemet 19 2.1 Vad är det centrala betalningssystemet? 19 2.2 Infrastrukturen för betalningssystemet 21 2.3 Vilka är de ansvariga aktörerna? 22 3 Mål och krav från regering och riksdag 25 3.1 Bedömningsgrunder 25 3.2 Vilka uttalanden har riksdagen gjort? 25 3.3 Internationella standarder och krav på betalningsväsendet 27 3.4 Riksbankens mål enligt bankens egen instruktion 27 3.5 Regeringens mål och krav på myndigheterna 28 3.6 Iakttagelser 28 3.7 Bedömning av mål och krav 30 4 Myndigheternas ansvar och samverkan 33 4.1 Bedömningsgrunder 33 4.2 Ansvarsfördelning enligt riksdag och regering 34 4.3 Samverkan 38 4.4 Iakttagelser 40 4.5 Bedömning av ansvar och samverkan 45 5 Förmåga att förebygga och hantera kriser 47 5.1 Genomförda risk- och sårbarhetsanalyser under åren 2003-2007 47 5.2 Förberedelser för att kunna hantera kriser 54 5.3 Övningar inom det finansiella systemet 60 5.4 Incidentrapportering och incidentanalyser 65 5.5 Penetrationstester 66 5.6 Forskning 67 5.7 Bedömning av förmåga 68 6 Uppföljning och tillsyn 71 6.1 Bedömningsgrunder 71 6.2 Uppföljning 71 6.4 Iakttagelser 77 6.5 Bedömning av uppföljning och tillsyn 80 7 Sammanfattande bedömningar och rekommendationer 83 7.1 Slutsatser och bedömningar 83 7.2 Brister i regeringens givna förutsättningar 85 7.3 Myndigheternas genomförande av krishanteringen inom det centrala betalningssystemet 87 7.4 Sammantagna konsekvenser av identifierade brister 90 Referenser 91 Bilaga 1 97 Bilaga 1 Hemlig

Sammanfattning Utgångspunkter för granskningen Riksrevisionen har granskat krisberedskapen mot tekniska hot och risker i det centrala betalningssystemet. Vi har utgått från sådana allvarliga el-, teleoch IT-störningar som kan leda till att betalningar inte kan ske och att stora delar av den ekonomiska aktiviteten stannar av. I granskningen bedömer Riksrevisionen om regeringens och myndigheternas samlade insatser för att förebygga och hantera allvarliga tekniska störningar i betalningssystemet är tillräckliga. Sannolikheten för att allvarliga tekniska störningar ska inträffa bedöms inte av Riksrevisionen. Hittills har Sverige varit förskonat från en allvarlig störning i det centrala betalningssystemet med svåra konsekvenser för samhället. Betalningssystemet drabbas dock ofta av olika tekniska incidenter. Riksrevisionens övergripande slutsatser Riksrevisionen har noterat att den finansiella sektorns aktiviteter när det gäller krisberedskap har utvecklats under senare år. Samtliga granskade myndigheter är engagerade i arbetet och avsätter i varierande omfattning tid och resurser för krishantering. En frivillig samverkan mellan myndigheter och näringsliv har etablerats. Riksrevisionen bedömer dock att statens åtgärder för att förebygga och hantera allvarliga tekniska störningar i betalningssystemet inte är tillräckliga. Riksrevisionen anser att varken regeringen eller myndigheterna har tillräckliga underlag för att kunna bedöma om vidtagna åtgärder räcker för att förebygga allvarliga el-, tele- och IT-störningar i det centrala betalningssystemet. Det finns brister såväl i myndigheternas risk- och sårbarhetsanalyser på området, som i deras tillsyn och uppföljning. Inte heller har man tillräckligt analyserat vad omfattande tekniska störningar skulle kosta samhället. Vidare kan inte regeringen sammanställa en nationell bild av samhällets krishanteringsförmåga, eftersom hanteringen av den information som finns inte är tillräckligt väl organiserad. Nuvarande underlag uppfyller inte heller krisberedskapsförordningens krav. Ett sådant underlag borde bedöma san- RIKSREVISIONEN

nolikheter för och konsekvenser av tänkbara händelser. Regeringen har inte heller fastställt vilka grundläggande säkerhetskrav som betalningssystemet och dess infrastruktur ska uppfylla eller hur uthålligt systemet måste vara. Regeringen har därför ingen norm att utgå ifrån eller tillräckligt underlag för att bedöma om skyddsåtgärderna och betalningssystemets robusthet är rimliga i förhållande till samhällets kostnader för omfattande betalningsavbrott. Riksrevisionen bedömer att statens åtgärder inte heller räcker för att hantera allvarliga el-, tele- och IT-störningar i betalningssystemet om de inträffar. Granskningen visar att myndigheterna och privata aktörer inte har förberett sig tillräckligt för att kunna begränsa skadorna för medborgare och samhälle av en allvarlig störning. Det finns brister i den krisplanering och de övningar som genomförts. Dessutom är ansvarsfördelningen mellan aktörer för operativ hantering oklar i vissa avseenden. Ingen myndighet har fått ett entydigt övergripande ansvar för att leda, planera, organisera samverkan av och följa upp krisberedskapsåtgärder inom betalningssystemet. Det statliga ansvaret för informationssäkerhet och incidenthantering inom den finansiella sektorn är också uppsplittrat mellan flera myndigheter. Inte heller har regeringen beslutat att funktionen Tjänsteman i beredskap ska finnas inom den finansiella sektorn 1. En sådan funktion har beslutats inom många andra samhällssektorer där en god förmåga att hantera kriser är av stor vikt. Riksrevisionen anser därför att regeringen och myndigheterna inte kan bedöma om rimliga åtgärder har vidtagits inom betalningssystemet för att förebygga kriser. Riksrevisionen bedömer av nämnda skäl att förmågan att hantera en allvarlig kris inom detta samhällsviktiga område är bristfällig. Riksrevisionens särskilda slutsatser och rekommendationer Regeringens mål och krav är otydliga Riksrevisionen anser att det finns en otydlighet i målbilden som beror på att regeringen inte fastställt krav på grundläggande säkerhet och uthållighet i betalningssystemet. Detta kan bidra till såväl onödiga investeringar som uteblivna investeringar i säkerhetsåtgärder hos ansvariga myndigheter och företag. Riksrevisionen rekommenderar därför regeringen att fastställa vilka grundläggande säkerhetskrav som ska gälla för betalningssystemet och dess nödvändiga infrastruktur. Regeringen bör också fastställa hur uthålligt betalningssystemet måste vara. 1 En Tjänsteman i beredskap har enligt krisberedskapsförordningen (2006:942) i uppgift att initiera och samordna det inledande arbetet för att upptäcka, verifiera, larma och informera vid allvarliga kriser. RIKSREVISIONEN

Ansvarsfördelning och samverkan har svagheter Staten ansvarar ytterst för att betalningssystemet fungerar vid en kris. Ett dussintal myndigheter inom fem departementsområden samt Riksbanken har ansvar och uppgifter för krisberedskapen inom detta system. Ingen myndighet anser sig ha ett övergripande och samlat ansvar för att leda, planera, organisera samverkan av och följa upp krisberedskapen. Det är oklart om någon myndighet med stöd av lag kan begära ut underlag av alla andra myndigheter som verkar inom betalningssystemet. Dessutom finns inget tydligt utpekat ansvar för samordning av IT-säkerhetsarbete och incidentövervakning. Sekretessproblem försvårar samarbete mellan myndigheter och näringsliv. Myndigheternas samverkan försvåras även av otydliga mål och uppgifter. Dessutom gäller inte krisberedskapsförordningen för Riksbanken. Förordningar gäller bara för myndigheter under regeringen. Riksrevisionen rekommenderar därför regeringen att fastställa vilken myndighet, exempelvis Finansinspektionen, som har det övergripande krisberedskapsansvaret för betalningssystemet och incidentbevakning samt att föreslå riksdagen i vilka avseenden Riksbanken ska ha ansvar för krisberedskapen. Regeringen bör även precisera samverkansområdenas arbete och sammansättning. Riksrevisionen vill också fästa riksdagens uppmärksamhet vid behovet av att överväga en ändring av lagen (1988:1385) om Sveriges riksbank i syfte att bestämmelserna i förordningen (2006:942) om krisberedskap och höjd beredskap ska gälla för Riksbanken. Regeringen och myndigheterna har inte bedömt risker och sårbarheter inom betalningssystemet som helhet Varken regeringen, Riksbanken eller myndigheterna sammanställer en nationsövergripande analys av hot, sårbarheter och konsekvenser av omfattande tekniska störningar i betalningssystemet. Metoderna för risk- och sårbarhetsanalyser är inte enhetliga, och analyserna uppfyller inte beredskapsförordningens krav. Riksrevisionen anser därför att de förebyggande åtgärder som ansvariga myndigheter och institut har vidtagit inte säkert är tillräckliga för att kunna hindra omfattande skador för medborgare, företag och samhälle. Riksrevisionen rekommenderar därför regeringen att säkerställa att analyser av risker och sårbarheter i hela det centrala betalningssystemet genomförs och ställs samman. Dessa analyser bör uppfylla krisberedskapsförordningens krav. Regeringen bör också se över sekretessregler och överväga att ge en myndighet föreskriftsrätt över hur risk- och sårbarhetsanalyserna ska utformas och följas upp. RIKSREVISIONEN

Även granskade myndigheter ska enligt Riksrevisionen i sitt arbete med risk- och sårbarhetsanalyser uppfylla krisberedskapsförordningens krav. Riksgälden ska exempelvis se till att analysen täcker myndighetens ansvarsområde, det vill säga det statliga betalningssystemet i sin helhet. Regeringens och myndigheternas förberedelser för att hantera en allvarlig störning är inte tillräckliga En allvarlig teknisk störning i det centrala betalningssystemet kommer att kräva snabba insatser från samtliga granskade myndigheter och från banker och infrastrukturföretag. Det är dock inte säkert att dessa aktörer skulle fungera tillsammans vid en kris. Det finns ingen förberedd ledningsorganisation eller ledningscentral. Inte heller finns funktionen Tjänsteman i beredskap etablerad inom den finansiella sektorn. Ingen av myndigheterna har det ledande ansvaret, och deras krisplaner avser i första hand den egna organisationen. Regeringskansliet har heller aldrig krisövat allvarliga tekniska störningar tillsammans med betalningssystemets aktörer. Riksrevisionen rekommenderar regeringen att se över hur aktörerna behöver förbereda sig för en akut allvarlig störning i betalningssystemet. Bland annat behöver en långsiktig strategi för gemensamma övningar utarbetas och funktionen Tjänsteman i beredskap etableras inom den finansiella sektorn. Regeringen bör också se över ledningsansvaret för krisförberedelserna och behovet av en förberedd gemensam ledningsorganisation och en central ledningsplats inom sektorn. Regeringen följer inte upp krisberedskapen Riksrevisionen kan konstatera att varken regeringen eller myndigheterna gör någon samlad uppföljning av krisberedskapen inom betalningssystemet. Regeringskansliet har heller ingen central mottagare för all krisberedskapsinformation som kan röra betalningssystemet. Det är också oklart i vilken grad Regeringskansliets nya enhet för krishantering kommer att hantera kriser inom betalningssystemet. Dessutom återges sällan väsentliga resultat av tillsynen när myndigheterna rapporterar om risker och sårbarheter. Denna redovisning är också i sig relativt knapphändig. Tillsynsmyndigheterna inspekterar inte heller på plats betalningssystemets underliggande tekniska infrastruktur. Därför kan de inte kontrollera att de finansiella institutionerna har gjort relevanta risk- och sårbarhetsbedömningar eller har fungerande skyddsåtgärder. Eftersom Regeringskansliet i dag inte samordnar informationen och eftersom tillsynen är begränsad bedömer Riksrevisionen att regering och riksdag har svårt att få en heltäckande bild av beredskapen i det centrala betalningssystemet. Det är också svårt att jämföra myndigheternas skydds- RIKSREVISIONEN 10

åtgärder och bedömningar mellan olika år. Om regering och riksdag har en felaktig bild av krisberedskapen inom betalningssystemet riskerar de att prioritera felaktigt, investera ineffektivt i förebyggande åtgärder eller investera för lite i säkerhetsåtgärder. Riksrevisionen rekommenderar regeringen att se över hur krisberedskapen inom betalningssystemet följs upp. Här ingår att utse en central samordnare för all information om betalningssystemets krisberedskap och att kräva att myndigheterna återrapporterar all väsentlig information. Då blir det möjligt att göra en samlad analys av krisberedskapen inom betalningssystemet. Regeringen bör också se över tillsynen inom detta system. Här ingår att undersöka vilken teknisk kompetens som behövs, om föreskrifter behövs och hur sanktioner ska utövas samt hur myndigheterna bör redovisa resultatet av tillsynen. Riksrevisionen rekommenderar också Riksbanken, Finansinspektionen och Post- och telestyrelse att via inspektioner på plats och stickprov faktiskt kontrollerar att bankerna och infrastrukturföretagen har infört de skyddsåtgärder man säger sig ha och att kontrollsystemet faktiskt fungerar som det är tänkt. Riksrevisionen anser också att Finansinspektionen bör använda sin föreskriftsrätt och sina sanktionsmöjligheter så att brister i krisberedskapen och regelbrott får konsekvenser för instituten och så att möjligheter skapas att få prövat i domstol hur långt skyldigheten enligt gällande lagar sträcker sig hos bankerna i principiellt viktiga fall. Konsekvenser av identifierade sårbarheter och brister Riksrevisionen bedömer att de brister som framkommit i granskningen kan leda till betydligt allvarligare skador för samhälle, företag och medborgare än nödvändigt vid ett eventuellt haveri i betalningssystemet. Det går inte att utesluta att ett avbrott i försörjningen av el, tele och IT till betalningssystemets kärna eller funktionsstörningar i systemet av andra orsaker till exempel kan hindra att stora betalningar mellan bankerna avvecklas. Om inte reservförfaranden hos centrala aktörer fungerar kommer sektorn efter några timmar att uppleva likviditetsstörningar, och deras kunder kommer inte att kunna genomföra normala bankfunktioner såsom att lösa in lån eller göra fastighetsaffärer och företagsköp. Värdepappershandeln kommer också att drabbas och betalningar av utlandskulden eller betalningar som myndigheter behöver göra kan inte ske. Därtill kommer ett antal andra följdverkningar. En allvarlig el-, tele- eller IT-störning kan också göra det omöjligt för medborgarna att ta ut kontanter, girera eller betala med kort. Om inte betalningar kan göras går det inte heller enligt Riksrevisionen att utesluta att förtroendet för det finansiella systemet skadas. Det kan i sin tur få långsiktiga följdeffekter av allvarlig art. 11 RIKSREVISIONEN

RIKSREVISIONEN 12

1 Inledning Riksrevisionen har granskat krisberedskapen mot tekniska hot och risker i det centrala betalningssystemet. Resultatet av granskningen presenteras i denna rapport. 1.2 Motiv för granskningen Det svenska betalningssystemet omsätter 1 290 miljarder kronor varje dag 2. De allra flesta betalningar sker numera genom elektroniska överföringar, som är starkt beroende av att den tekniska infrastrukturen (el, tele och IT) fungerar väl. Om inte de elektroniska överföringarna fungerar stannar stora delar av den ekonomiska aktiviteten av. Allvarliga tekniska fel kommer ofta plötsligt och kan sprida sig snabbt eftersom olika aktörer och tekniska delsystem är beroende av varandra. Det gör att inblandade parter inte alltid hinner skydda sig tillräckligt. Den teknologiska utvecklingen har dessutom gått snabbt och antalet aktörer har ökat. Betalningssystemet har blivit alltmer beroende av en teknik som också är öppen för storskalig manipulation på ett helt annat sätt än under tidigare decennier. Samtidigt kvarstår risken för allvarliga olyckor, till exempel kabelbrott och datorhaverier. Den nya tekniken kan alltså genom spridnings- och kaskadeffekter snabbt leda till betydande skador och förluster för företag och konsumenter. Ytterst kan det bli kaos i samhället om ingen kan betala. Betalningssystemet drabbas ofta av olika tekniska incidenter. Hittills har Sverige varit förskonat från en riktigt allvarlig störning. Hur en sådan störning kan se ut beskriver vi i avsnitt 1.6. 2 Värdepappershandeln står för 500 miljarder, kort och gireringar 30 miljarder, valutahandel 390 miljarder, betalningar mellan banker 360 miljarder och kontantbetalningar 10 miljarder kronor. Källa: Riksbanken. Eva Srejber, 2006. Sårbarheter i det moderna betalningsväsendet. 13 RIKSREVISIONEN

1.2 Frågeställningar Syftet med granskningen är att bedöma om beredskapen för tekniska hot och risker i det centrala betalningssystemet är tillfredsställande. Revisionsfrågan som ska besvaras är följande: Är statens åtgärder tillräckliga för att allvarliga tekniska störningar inom det centrala betalningssystemet kan förebyggas eller hanteras om de inträffar? Vi har ställt följande delfrågor: 1. Har riksdagen och regeringen lagt fast tydliga och enhetliga mål för krisberedskapens inriktning och ambitionsnivå? 2. Är ansvarsfördelningen och samverkan så utformade att samhället på ett ändamålsenligt sätt kan förebygga eller hantera allvarliga störningar i det centrala betalningssystemet? 3. Har berörda samverkansmyndigheter säkerställt att de själva och de finansiella företagen har en tillräcklig förmåga att hantera kriser? 4. Har ansvariga myndigheter genomfört en tillfredsställande tillsyn och uppföljning? 1.3 Avgränsningar Granskningen avgränsas till statliga insatser som gör att det centrala betalningssystemet fungerar även vid allvarliga el-, tele- och IT-störningar. Vi riktar främst intresset mot de verksamheter där allvarliga störningar kan få stora konsekvenser för samhälle, företag och medborgare. Berörda departement är Finans-, Social-, Närings-, Justitie- och Försvarsdepartementen. Myndigheter som vi i första hand granskar är Finansinspektionen, Försäkringskassan, Riksgälden, Post- och telestyrelsen samt Krisberedskapsmyndigheten. Dessutom granskar vi Riksbanken och samverkansorgan mellan stat och privat sektor. Tullverket och Skatteverket har en mer perifer roll inom betalningssystemet och ingår därför inte i granskningen. Den granskade tidsperioden är år 2003 september 2007. 1.4 Bedömningsgrunder Bedömningsgrunder för granskningen är främst krav i krisberedskapsförordningen (2006:942) och andra författningar 3 samt uttalanden från riksdagen och regeringen. Vi använder också bedömningskriterier och berättigade krav som i övrigt kan ställas på en väl fungerande krisberedskap inom det centrala betalningssystemet. Bedömningen görs utifrån modellen i figur 1.1. 3 Bet. 1999/2000:FiU 13, rskr. 1999/2000:106. RIKSREVISIONEN 14

Figur 1:1 Riksrevisionens utgångspunkter för att bedöma förmåga Förutsättningar givna av regeringen: Mål och krav Former för ansvar och samverkan Åtgärder Forskning Risk- och sårbarhetsanalys Tillsyn Uppföljning Krisplanering och andra förberedelser Övning och tester Faktisk samverkan Förmåga Robusthet och motståndskraft i teknisk infrastruktur Krislednings- och operativ förmåga vid en kris Först granskar vi om regeringens mål och krav för krisberedskapen inom betalningssystemet är tydliga, och om de vägleder myndigheternas arbete och ökar förutsättningarna för en god samlad förmåga (kap. 3). Vi bedömer här om målen är så preciserade att de kan följas upp och ligga till grund för överväganden om åtgärder, vilket riksdagen önskat 4. Därefter bedömer vi om ansvarsfördelningen mellan myndigheterna är tydlig eller om det finns risk för att uppgifter faller mellan stolarna 5 (kap. 4). Vidare bedömer vi i vilken grad myndigheterna samverkar när de utför sina uppgifter. Vi bedömer också om rätt parter deltar och om deltagarna är motiverade att samverka. Vid denna bedömning stöder vi oss på Krisberedskapsmyndighetens analyser av fungerande samverkan, som vi anser vara rimliga. För det tredje går vi in på varje myndighets krisberedskapsarbete (kap. 5). Arbetet bedöms i första hand utifrån krisberedskapsförordningens krav och regeringens uttalade krav på förmåga. I andra hand utgår vi från kriterier som Krisberedskapsmyndigheten föreslagit och som vi bedömer är rimliga. 4 Bet. 1999/2000:FiU13, rskr, 1999/2000:106. 5 För perioden före år 2007 hänvisar vi till verksförordningen (1995:1322) där det ställs krav på effektiv verksamhet. Därefter gäller en ny förordning (2007:515). I övrigt tillämpas här rimlighetsbedömningar. 15 RIKSREVISIONEN

Myndigheterna ska enligt krisberedskapsförordningen analysera risker och sårbarheter inom sina ansvarsområden och föreslå åtgärder som kan göra betalningssystemet mer motståndskraftigt. Myndigheterna ska också göra krisplaner och på andra sätt förbereda sig för att kunna hantera en allvarlig störning om den inträffar. Dessutom ska de öva sin krisberedskap. Incidenter ska rapporteras och analyseras. Det är också rimligt att betalningssystemets IT-miljö regelbundet prövas med penetrationstester. Några av myndigheterna har också fått i uppgift att stödja forskning för att täcka in kunskapsluckor inom ansvarsområdet. I ett fjärde och sista steg utvärderar vi i vilken grad uppföljning och tillsyn fungerar väl (kap. 6). För att beredskapsarbetet ska vara effektivt måste man följa upp och ta vara på erfarenheter och låta dem påverka det fortsatta arbetet 6. Tillsynsmyndigheterna ska kontrollera att skyddsåtgärder genomförs av företag som har en central funktion i betalningssystemet. Här granskar vi om svenska tillsynsmyndigheter följer svenskt regelverk och internationella överenskommelser. När Riksrevisionen bedömer den samlade förmågan hos regering och myndigheter att förebygga och hantera allvarliga störningar i betalningssystemet använder vi regeringens och KBM:s klassificeringar: god, god men vissa briser, bristfällig och mycket bristfällig. Den samlade bedömningen görs utifrån vilka brister som konstaterats i de enskilda grundförutsättningar som redovisats ovan. Mer preciserade bedömningsgrunder redovisar vi i början av varje kapitel och i bilaga 1. 1.5 Metod och genomförande Granskningen bygger på studier av dokument såsom författningar, utredningar, utskottsbetänkanden, budgetpropositioner och regleringsbrev. Vi har också granskat myndigheternas risk- och sårbarhetsanalyser och planer för beredskap för allvarligare störningar inom betalningssystemet, underlag och utvärderingar av totalövningar samt mötesprotokoll och dokumentation från olika samverkansforum. För att komplettera dokumentstudierna har vi gjort ett femtiotal intervjuer. Vi har intervjuat enhetschefer och handläggare vid Finansdepartementet och enheten för beredskap och analys (EBA) vid Statsrådsberedningen. Vi har också intervjuat flera personer vid samtliga myndigheter som har ett uttalat ansvar för beredskapen inom betalningssystemet. Dessutom har vi intervjuat företrädare för bland annat Bankföreningen, storbankerna samt Värdepapperscentralen (VPC) och Bankgirocentralen (BGC). 6 Se not 3 ovan. RIKSREVISIONEN 16

Professor Roland Heickerö från Totalförsvarets forskningsinstitut (FOI) har anlitats för att analysera hot, risker och sårbarheter inom betalningssystemet. Fil dr Johannes Malminen från samma institut har analyserat hur departement och ansvariga myndigheter förberett sig för att akut hantera en kris. För kvalitetssäkring har vi anlitat två experter: fil dr Peter Stenkula vid KTH och professor Lars Jonung vid EG-kommissionen. 1.6 Vad kan allvarligt störa betalningssystemet och få stora skadeverkningar? ett exempel Ett stort antal händelseförlopp kan leda till allvarliga störningar inom det centrala betalningssystemet. Enligt krisberedskapsförordningen 7 ska myndigheterna kunna hantera även allvarliga händelser som är mindre troliga, men som skulle få omfattande konsekvenser. Ett sådant händelseförlopp som enligt några av de granskade myndigheterna kan inträffa, är om till exempel ett elavbrott allvarligt påverkar kontantförsörjningen 8. Allmänhet och företag kan i huvudsak betala på tre sätt: med kontanter, betalkort eller via girering. Kontanterna tar konsumenten ut från bankkontor eller uttagsautomat. Men uttagsautomaterna fungerar inte utan el. Eftersom inte heller datorer, larm och andra viktiga system fungerar utan el är det sannolikt att bankkontoren skulle stänga vid ett omfattande elavbrott. Dessutom blir också betalkorten i stor utsträckning obrukbara utan el eftersom terminalerna kräver el, och enligt Svenska bankföreningen sker 59 procent av alla betalningar med kort. Tidigare har handeln använt manuella kortdragare, men detta har i stort sett upphört. Utan elektricitet är det också omöjligt att betala räkningar via girering. Alla tre huvudsakliga betalningsvägar är således beroende av el. Ett större elavbrott vid fel tidpunkt i månaden kan därför innebära att stora delar av befolkningen och näringslivet inte hinner betala sina räkningar i tid. Många företag och personer riskerar därmed att stå utan likvida medel. Ett omfattande elavbrott orsakat av exempelvis ett kabelbrott eller en översvämning 9 i Gamla stan skulle alltså kunna få allvarliga konsekvenser för hela Stockholmsregionen och därmed även det svenska samhället. De flesta myndigheter och institut har tillgång till reservkraft, men under en begränsad tid. Det är därför inte säkert att konsumenterna omedelbart påverkas av ett elavbrott. Är elavbrottet längre än två eller tre dagar kan följderna däremot bli problematiska. Om ingen kan betala avstannar de 7 Förordningen (2006:942) om krisberedskap och höjd beredskap. 8 Ett elavbrott kan också påverka andra delar av betalningssystemet, till exempel möjligheten att föra över stora betalningssummor mellan de centrala aktörerna i betalningssystemet. Det skulle i sin tur förstärka problemen med kontantförsörjning. Denna komplikation beskrivs inte här. 9 En vattenhöjning i Mälaren kan leda till en översvämning i Gamla stan, vilket kan leda till att systemet med försörjningstunnlar för bland annat vatten, el, värme, tele och datakommunikation under Stockholm vattenfylls. Stora delar av teletrafiken mellan olika delar av landet passerar också via kablar i dessa tunnlar. 17 RIKSREVISIONEN

ekonomiska transaktionerna och butikerna stänger. Ytterst kan det enligt Eva Srejber 10, före detta vice riksbankschef, innebära ett kristillstånd, liknande det som inträffade under krisen i Argentina under år 2003, då nästan bara byteshandel fungerade. När tillgången till kontanter är slut kan nya betalningssätt komma att utvecklas, till exempel skuldbevis. Dessa är dock beroende av trovärdigheten hos de personer eller företag som utfärdar dem. De som inte har denna trovärdighet kan få problem. 1.7 Några centrala begrepp i rapporten I rapporten används ett antal fackuttryck och begrepp. De mest använda begreppen har följande betydelser. Hot: Faror som kan vålla skador på personer eller egendom. Antagonistiska hot uppstår på grund av mänskligt agerande med en medveten intention. Det centrala betalningssystemet 11 : De tekniska och administrativa system som gör det möjligt att betala för varor och tjänster i samhället. Risk: Den fara som en oönskad händelse innebär för människor, miljö och materiella värden. Risk är en sammanvägning mellan sannolikhet och konsekvens. Sannolikhet: Hur ofta en händelse bedöms inträffa. Konsekvens: Den negativa följden av en oönskad händelse. Sårbarhet: Ett systems (bristande) förmåga att fungera när det utsätts för påfrestningar. Operativ risk: Risken för förluster till följd av icke ändamålsenliga eller inte fungerande interna förfaranden, mänskliga fel, system eller yttre händelser. Teknisk risk: Operativa risker i teknisk infrastruktur, såsom data- och IT-system, el- och teletransmission, energiförsörjning och infrastrukturens skalskydd. Robusthet: Förmåga att fungera och uppnå syften vid påfrestning. Förebyggande åtgärd: Åtgärd som begränsar sannolikheten för en oönskad händelse. Förberedande åtgärd: Åtgärd som begränsar konsekvensen av en oönskad händelse. Förmåga: Den robusthet och beredskap som finns i samhället. Krishanteringsförmåga: Förmåga att leda, samordna och informera vid svår påfrestning. Operativ förmåga: Förmåga att motverka eller lindra skador under en kris. Samhällsviktig verksamhet: verksamhet som det blir kris om den stannar eller som är väsentlig för att en kris i samhället ska kunna hanteras. 10 Riksbanken. Eva Srejber, 2006. Sårbarheter i det moderna betalningsväsendet. 11 I rapporten används som en kortare version också betalningssystemet, i stället för att alltid upprepa det centrala betalningssystemet. RIKSREVISIONEN 18

2 Det centrala betalningssystemet I detta kapitel ger vi en kort översikt över betalningssystemet, dess kärnverksamheter och inbördes beroenden samt ansvariga aktörer. Beskrivningarna är huvudsakligen hämtade från Riksbanken och Krisberedskapsmyndigheten. 2.1 Vad är det centrala betalningssystemet? Det centrala betalningssystemet består av de tekniska och administrativa system som gör det möjligt att betala för varor och tjänster i samhället. Bankerna är här de centrala företagen. Mindre betalningar sker ofta med sedlar och mynt. Andra sätt att betala är med kort eller genom överföringar och gireringar. Överföringar mellan olika bankkonton används vid stora betalningar. Staten har ett delvis eget betalningssystem för att kunna betala ut bidrag och löner. Värdepapper måste kunna betalas och användas som säkerheter för betalningar. Att dessa centrala delar av betalningssystemet fungerar är av stor vikt för samhället. Det centrala betalningssystemet innehåller alltså flera delvis inbördes beroende och delvis oberoende samhällsviktiga kärnverksamheter. Detta illustreras i figuren nedan. Figur 2.1 Kärnverksamheter inom betalningssystemet Kontantförsörjning Handel och betalning med värdepapper Överföring, girering och avveckling Statliga bidrag och betalningar Kortbetalning Kontantförsörjning Kontanter används för att säljare och köpare ska kunna mötas fysiskt och byta varor mot pengar. Ofta rör det sig om relativt låga belopp. Kontantbetalningarna står fortfarande för en stor del av antalet transaktioner, även om andelen har minskat på senare år till förmån för kortbetalning och elektroniska överföringar. Ur ett krisperspektiv är det enligt Krisberedskapsmyndigheten viktigt att de som behöver får tillgång till kontanter i sitt närområde; detta för att kunna betala varor och tjänster kontant. 19 RIKSREVISIONEN

Kortbetalning När vi betalar med kort överförs pengar mellan två konton hos någon eller några banker. Många kort fungerar som både uttags och betalkort. I Sverige sker sex av tio betalningar med kort. Både de delar av betalkortssystemet som finns inom banker och de som finns inom säljföretag, liksom kontantförsörjningen, är beroende av fungerande el och telekommunikationer. Ur ett krisperspektiv är det därför viktigt att kortinnehavare faktiskt kan betala nödvändiga varor och tjänster med kort. Överföring, girering och avveckling Överföring, girering och avveckling är navet i det finansiella systemet. Vid överföring flyttas ett tillgodohavande från en kontoinnehavare till en annan. Man kan föra över pengar genom att besöka ett bankkontor, ringa, skicka ett brev eller ett fax till bankkontoret eller genom att registrera sin överföring själv via internet. En girobetalning är en särskild sorts överföring som utnyttjar ett bestämt nummer (bankgiro) för att identifiera betalningsavsändare och betalningsmottagare. Det så kallade RIX-systemet sköter avveckling av stora betalningar mellan bankerna. Ur ett krisperspektiv är det viktigt att nödvändiga transaktioner mellan konton och kontohavare kan göras inom förväntade tidsramar. Statliga bidrag och betalningar Det statliga betalningssystemet består av de regelverk, avtal, system och rutiner som gör det möjligt för myndigheter, medborgare och företag att betala varandra. Själva utbetalningarna görs av bankerna. Staten har ramavtal med tre banker, och det är Riksgälden som förhandlar om dessa avtal. År 2003 genomförde 270 myndigheter cirka 100 miljoner betalningstransaktioner för totalt 4 000 miljarder kronor. Myndigheterna har tillgång till medel på statsverkets checkräkning i Riksbanken (SCR). Riksgälden sätter upp regler för hur staten ska betala ut löner och bidrag. Bidragen från socialförsäkringssystemet har särskilt stor betydelse för såväl enskilda som för samhällsekonomin i stort. Av 100 kronor som används för privat konsumtion kommer cirka 25 kronor från socialförsäkringen. Den svenska socialförsäkringen (cirka 50 olika förmåner och bidrag) betalade år 2005 sammanlagt ut 399 miljarder kronor. Av dessa pengar går 80 procent till utsatta grupper, som sjuka, handikappade och pensionärer. Ur ett krisperspektiv är det viktigt att dessa grupper får tillräckligt stor ersättning för att klara de nödvändigaste utgifterna. Det är också viktigt att statliga myndigheter kan betala ut löner. Dessutom måste det statliga betalningssystemet vara så säkert att det inte kan utnyttjas i brottsliga syften. RIKSREVISIONEN 20